Развертывание Directaccess (упрощенная установка)
Продолжая свое повествование о Directaccess, в этой статье я продемонстрирую способ упрощенной установки данного сервиса. Статья является продолжением предыдущей публикации, где были описаны задачи и цели как таковые, а также заложен фундамент для дальнейших действий описанных в данной публикации.
И так, в названии присутствует словосочетание «упрощенная установка», это отнюдь не означает что она таковой является (хотя по сравнению с установкой в WindowsServer 2008 R2 так и есть). Смысл в том, что множество возможных настроек при развертывании устанавливается в значение по умолчанию. При таком способе сервис работает, как говорят, «из коробки». Конечно в будущем пытливому уму будет предоставлена возможность что-то да как-то изменит или, другими словами, внести коррективы в конфигурацию. Но это уже будет совсем другая история, повествование о которой обязательно можно будет найти в дальнейшем, а если точнее в следующей статье цикла о Directaccess.
Установка Directaccess
Для начала установки на уже подготовленном сервере необходимо развернуть фичу роли Directaccess.
![Добавление новой роли или фичи в Server Manager Добавление новой роли или фичи в Server Manager](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-30-09.png)
В Server manager необходимо выбрать добавление новой роли или фичи, как показано на скриншоте.
![Установка роли RemoteAccess Установка роли RemoteAccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_1-58-24.png)
Дойдя по шагам в мастере, необходимо выбрать RemoteAccess
![Установка фичи роли DirectAccess and VPN (RAS) Установка фичи роли DirectAccess and VPN (RAS)](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_1-58-47.png)
Из интересующего нас, необходимо выбрать DirectAccess and VPN (RAS)
![Установка дополнительных ролей и фич для DirectAccess Установка дополнительных ролей и фич для DirectAccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-33-17.png)
После этого, мастер автоматически предложит доустановить дополнительные фичи для работы служб. В них будут входить как консоли управления, так и ряд других ролей.
![Установка Directaccess Установка Directaccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-36-24.png)
Далее начинаем установку Install. По старой привычке я поставил чекбокс напротив автоматической перезагрузки сервера, хотя после завершения установки система ее не потребовала. Сама же перезагрузка требовалась в Windows Server 2012 и, не изменяя традициям, все же ее произвел вручную.
Настройка Directaccess
Сервер перезагружен и готов к настройке.
![Запуск мастера Getting Started Wizard для настройки Directaccess Запуск мастера Getting Started Wizard для настройки Directaccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-43-29.png)
В Server Manager, в области уведомлений, вызываем мастер настройки удаленного доступа.
![Установка только Directaccess Установка только Directaccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-44-27.png)
На следующем шаге, необходимо выбрать Deploy DirectAccess only. Сей час и в ближайших статьях я буду рассматривать только установку DirectAccess без VPN хотя существуют сценарии когда их можно развернуть одновременно. Собственно, это является одной из особенностей DirectAccess на Windows Server 2012 / 2012 R2, так как в Windows Server 2008 R2 это сделать не представлялось возможным.
![Выбор Edge топологии и DNS имени Выбор Edge топологии и DNS имени](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-47-04.png)
Далее, выбираем необходимую сетевую топологию, напоминаю в этой и в последующих публикациях я буду использовать только пограничную топологию, а также публичное DNS имя по которому клиенты будут подключатся к серверу или серверам DA. Кроме наличия самого имени необходимо иметь также SSL сертификат безопасности выписанный на него. В качестве сертификатов допускается использование как корпоративные центры CA, так и публичные от третьих сторон. В отношении корпоративных, необходимо взять на заметку, что ваша PKI инфраструктура должны быть правильно опубликована во внешнею сеть. Допускается использование SAN, а также Windcard типов сертификатов, собственно в этой лабе как раз будет использован Windcard сертификат от третей стороны.
![Внесение дополнительных настроек Внесение дополнительных настроек](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-51-08.png)
Хотя все настройки можно оставить по умолчанию, все же я внесу определенные правки для дальнейшей работоспособности лабы.
![Внесение дополнительных настроек Внесение дополнительных настроек](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-58-15.png)
В секции Remote Clients выбираем Change.
![Отключение Enable DirectAccess for mobile computers only и изменение группы безопасности Отключение Enable DirectAccess for mobile computers only и изменение группы безопасности](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-06_23-59-21.png)
По умолчанию, группа которой разрешено получать настройки DirectAccess это Domain Computers, то есть все компьютеры домена. На мой взгляд под клиентские компьютеры, под которые планируется DA, необходимо создать отдельную группу безопасности и указать ее в мастере. Далее, также желательно снять чекбокс с Enable DirectAccess for mobile computers only. После выполнения данного шага созданная в последствии групповая политика не будет обладать специфическим WMI фильтром. Задача этого фильтра, это отсеивание компьютеров которые обладают физической архитектурой отличной от архитектуры ноутбуков.
![Добавление почтового ящика администратора поддержки Добавление почтового ящика администратора поддержки](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-00-01.png)
Следующий весьма не примечательный шаг, это указание почтового ящика хелпдеска. Не примечательный потому, что если он не будет указан, клиентская машина, которая по тем или иным причинам не может подключится к серверам DA, не сможет собрать лог-файлы для последующего анализа. По этому, на мой взгляд, стоит его указывать.
![Применение настроек для конфигурирования DirectAccess Применение настроек для конфигурирования DirectAccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-00-41.png)
После внесения изменений, необходимо лишь запустить мастер и дальше процесс развертывания происходит полностью автоматически.
![Консоль управления Remote Access Management Console Консоль управления Remote Access Management Console](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-02-23.png)
Не сразу, а примерно через 2-3 минуты при просмотре всех служб DA их статус будет свидетельствовать что все хорошо. Теперь стоит перейти к тестированию и получению первых результатов.
Тестирование конфигурации
Для тестирования была взята виртуальная машина обладающая двумя сетевыми интерфейсами. Первый смотрит в локальную сеть предприятия, второй – во внешнюю. Цель тестирования показать получение настроек DA, а также подключение к корпоративным ресурсам предприятия.
![Клиентский компьютер до применения настроек DirectAccess Клиентский компьютер до применения настроек DirectAccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-03-39.png)
Как видно на скриншоте, подключение DA отсутствует. Для появления подключения необходимо выполнить процесс скачивания и применения групповых политик.
![Применение настроек через групповые политики, а также их проверка Применение настроек через групповые политики, а также их проверка](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-06-23.png)
Применив групповые политики просмотрим результат. Со скриншота видно, что групповые политик DA успешно применились.
![Переключение между сетевыми интерфейсами Переключение между сетевыми интерфейсами](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-08-21.png)
Далее я произведу отключение от корпоративной сети и подключение к внешней.
![Проверка активности подключения DirectAccess Проверка активности подключения DirectAccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-23-04.png)
Открыв подключения, видно что DirectAccess активен.
Далее я произвел ряд тестов на подключения как со стороны клиентской машины так и со стороны корпоративной инфраструктуры.
![Тестирование доступа к файловому серверу Тестирование доступа к файловому серверу](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-52-47.png)
Доступ к файлам которые находятся на файловом сервере который работает под управлением Windows Server 2012 R2
![Тестирование доступа к файловому серверу Тестирование доступа к файловому серверу](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-53-04.png)
Доступ к файлам которые находятся на файловом сервере который работает под управлением Windows Server 2003 R2
![Тестирование RDP подключения Тестирование RDP подключения](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-53-27.png)
Открытие RDP сессии к файловому серверу.
![Тестирование доступа к внутреннему вебсайту Тестирование доступа к внутреннему вебсайту](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-54-03.png)
Открытие корпоративного веб сайта.
![Тестирование RDP подключения со стороны организации Тестирование RDP подключения со стороны организации](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-55-00.png)
Возможность RDP доступа с сервера внутри организации.
![Эхо запросы к клиента DirectAccess Эхо запросы к клиента DirectAccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-55-29.png)
Выполнение эхо запросов к клиенту DA
![Эхо запросы к контроллера домена к клиенту DirectAccess Эхо запросы к контроллера домена к клиенту DirectAccess](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-56-19.png)
Выполнение эхо запросов к контроллеру домена.
![Применение групповых политик Применение групповых политик](https://ait.in.ua/wp-content/uploads/2019/03/2014-07-07_0-57-17.png)
Применение групповых политик.
Выводы
В статье “Развертывание Directaccess (упрощенная установка)” я продемонстрировал процесс базовой настройки DirectAccess и тестирование на клиентской машине под управление Windows 8.1 Enterprise. В следующей статье я рассмотрю уже комплексное развертывание, в котором будут описаны дополнительные настройки и возможности технологии. Слетите за обновлениями!
Спасибо, очень интересный цикл статей.